CloudFlare реализовала поддержку Encrypted SNI
24 сентября CloudFlare объявили о поддержке расширения TLS 1.3 Encrypted SNI. Преимущества ESNI Никто не видит на какой домен вы заходите. Все что знает провайдер это только IP адрес на который вы обращаетесь. Domain Fronting не нужен. Как ESNI работает В современном интернете на одном IP адресе...
Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде, компания приносит извинения
Если Вас разлогинило утром в пятницу в Facebook — Вы не одни. Facebook пострадал от атаки, которой подверглось до 90 млн личных аккаунтов пользователей, сообщила компания. Уязвимость в коде социальной сети позволила хакерам получить доступ к личной информации как минимум 50, а возможно даже 90 млн...
[Перевод] Тайваньский хакер пригрозил онлайн удалить страницу Цукерберга из Facebook 30.09.2018, но позже отказался от этого плана
Тайваньский хакер Чанг Чи-Юн собирался удалить страницу Марка Цукерберга из Facebook в прямом эфире в самом же Facebook. Читать дальше →...
HyperX Pulsefire FPS Pro — быстрее, злее, доступнее
Сама по себе игровая мышь давно перестала быть чем-то выдающимся или инновационным. Тем не менее, одни мыши по ряду причин считаются лучше, чем другие. Даже если внутри стоит одинаковый сенсор, а форма корпуса похожа. HyperX Pulsefire FPS заслуженно называли одной из самых-самых — но инженеры...
Активность «ГосСОПКИ» возросла
Что такое ГосСОПКА? В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) на информационные ресурсы, расположенные в нашей стране, в диппредставительствах и консульских учреждениях за...
Не забывайте правильно настроить web-сервер
Всем любителям Laravel, да и не только, стоит помнить две простые вещи: Отдавайте web-сервером только нужные урлы Не храните важные конфиги в корне Или ваши пароли улетят в открытый доступ по поиску в гугле. p.s. убрал ссылку...
И снова про обезличивание
На Федеральном портале проектов нормативных правовых актов появился проект Федерального Закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения требований при обезличивании персональных данных». Полный текст проекта доступен по ссылке. Суть предложения Минкомсвязи...
[Перевод] Краткая история цифровой клавиатуры
Представьте себе клавиатуры телефона и калькулятора. Можете вспомнить о том, чем они различаются, никуда не подсматривая? Если вам это не удалось — ничего страшного. Большинство из нас так привыкло к распространённым устройствам ввода данных, что попросту не отдаёт себе отчёта в том, что на...
Как получить детализацию чужих разговоров всего за 30 рублей
Всем привет! В 2015 году я написал несколько статей про оператора связи Билайн и его игры с HTML-кодом: Билайн автоматически добавляет тулбар с поиском Mail.Ru Билайн автоматически добавляет тулбар и изменяет дизайн сайтов Билайн автоматически меняет HTML теги С того момента оператор более не был...
Как STACKLEAK улучшает безопасность ядра Linux
STACKLEAK — это функция безопасности ядра Linux, изначально разработанная создателями Grsecurity/PaX. Я решил довести STACKLEAK до официального ванильного ядра (Linux kernel mainline). В этой статье будет рассказано о внутреннем устройстве, свойствах данной функции безопасности и ее очень долгом...
Утечка исходных кодов веб-сервисов «Аэрофлота»
Неизвестный опубликовал на GitHub исходные коды веб-приложений «Аэрофлота», включая код, отвечающий за начисление бонусов и создание подарочных сертификатов. Утечка произошла из-за халатности — сервер с реестром контейнеров Docker был доступен всем желающим по протоколу HTTP без авторизации и...
Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета
RouterOS очень мощный инструмент в руках профессионалов и ответственных специалистов. Но в руках новичков или тех, кто делает всё на «и так сойдёт» Mikrotik начинает жить своей жизнью и превращается в ноду ботнета. Ещё в мае 2018 я писал статью с рекомендациями как защитить свой Микротик. Как ни...
А ну его, ваш пентест
В области информационной безопасности постоянно что-то происходит — она развивается, появляются новые средства защиты, которые, если верить их описанию, умеют все. Ни один хакер не сможет прорваться сквозь них в вашу информационную систему и сделать свои темные хакерские делишки. Когда читаешь про...
В Google Chrome добавят возможность отказа от автоматической синхронизации профиля при логине в сервисах компании*
*Эта функция была введена с версией 69 и вызвала неоднозначную реакцию сообщества. Исправление выйдет только с патчем 70 в середине октября. Один из главных скандалов вокруг Google за последнюю неделю связан с незаметной, но потенциально крайне неприятной функции автоматического подключения профиля...
Отчёт Центра мониторинга информационной безопасности за I полугодие 2018 года
Мы публикуем седьмой по счёту регулярный отчёт нашего Центра мониторинга, посвящённый аналитике зафиксированных событий и инцидентов информационной безопасности. Главные цифры: Зафиксировано 112 млн. событий (в два раза меньше, чем в предыдущем периоде). Подтверждено 434 инцидента (мы обрабатывали...
[Перевод] Социальная инженерия: неуловимый враг в мире кибербезопасности
Защита корпоративной информации, сетей и рабочих станций от постоянно меняющихся внешних и внутренних угроз — задача, похожая на стрельбу по движущейся мишени. А социальная инженерия превращает эту работу в практически невозможный подвиг. Деятельность, направленная на «взлом» человеческого...
Компания Valve представила рейтинг игровых контроллеров, используемых в Steam
Холивары на тему «что лучше — игровая консоль или заточенный под игры ПК», вероятно, можно отнести к вечным темам. Аргументы в свою пользу сторонники обеих точек зрения могут приводить очень разные, один другого краше. Но консольщикам редко удается перетянуть в свой лагерь поклонников ПК, а...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 9: «Безопасность Web-приложений», часть 2
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...